Protégez les environnements hybrides Microsoft 365
La connexion de Microsoft 365 à des systèmes sur site peut permettre aux pirates de se déplacer latéralement vers le cloud si le service informatique ne suit pas certaines bonnes pratiques simples. Les hôpitaux et autres prestataires de soins de santé doivent utiliser Azure AD Connect pour synchroniser les comptes et les hachages de mots de passe avec le cloud ou utiliser l’authentification directe. Les services de fédération Active Directory offrent peu d’avantages pour la connexion de Windows Server Active Directory à Azure AD et présentent des risques qui peuvent rendre Azure AD vulnérable.
Les objets synchronisés avec Azure AD ne doivent jamais détenir de privilèges cloud au-delà de «l’utilisateur standard». Cela garantit que les comptes locaux compromis ne peuvent pas être utilisés à des fins malveillantes dans Microsoft 365. Les hôpitaux doivent vérifier que les objets synchronisés à partir d’AD locale n’héritent pas des privilèges cloud élevés des rôles ou des groupes Azure AD.
Les comptes d’administrateur Azure AD doivent toujours être créés dans le cloud et protégés à l’aide de l’authentification multifacteur. La stratégie d’accès conditionnel Azure AD peut être utilisée pour sécuriser davantage les comptes cloud privilégiés, qui ne doivent être accessibles qu’à partir des stations de travail gérées Azure.
Détectez les comptes Microsoft 365 compromis avec des outils Open Source
CISA a récemment publié un outil basé sur PowerShell pour aider à détecter les comptes et les applications Microsoft Azure compromis en mettant en évidence les activités qui pourraient être considérées comme inhabituelles et potentiellement malveillantes. L’outil, appelé Sparrow, est destiné aux intervenants en cas d’incident et est spécialement conçu pour détecter les menaces telles que les récentes attaques basées sur l’authentification mises en évidence lors du piratage de SolarWinds.
Sparrow est disponible gratuitement sur GitHub et aide les équipes informatiques à réduire l’activité des utilisateurs et des applications qui pourrait suggérer des attaques basées sur l’authentification. Sparrow vérifie le journal d’audit unifié d’Azure à la recherche de signes de compromission, répertorie les domaines Azure AD et vérifie les principaux de service et les autorisations d’interface de programmation d’application Microsoft Graph.
CrowdStrike dispose également d’un outil de création de rapports PowerShell pour Azure AD qui peut détailler les autorisations et les paramètres de configuration difficiles à voir à l’aide des outils Azure. L’outil CrowdStrike affiche les règles de transfert de courrier pour les domaines distants, les utilisateurs activés pour Exchange Online PowerShell et les objets principaux de service avec keyCredentials. Comme Sparrow, l’outil de création de rapports CrowdStrike pour Azure (CRT) est gratuit et disponible sur GitHub.
Hawk est un autre outil PowerShell gratuit qui peut être utilisé pour collecter des données à partir d’Azure et de Microsoft 365. Il fournit aux intervenants en cas d’incident des informations sur des utilisateurs principaux ou des locataires Microsoft 365 entiers, y compris des adresses IP et des données de connexion. Hawk permet également aux organisations de suivre l’utilisation de l’adresse IP pour les connexions simultanées.
Auditer, collecter et stocker les données du journal Microsoft 365 pour la chasse aux menaces
Quels que soient les outils qu’ils utilisent, les organisations de soins de santé doivent surveiller la création et l’utilisation des informations d’identification du principal de service, les relations d’approbation ajoutées à Azure AD et l’attribution d’informations d’identification aux applications qui permettent une connexion non interactive. Les données de connexion interactives doivent être collectées à partir d’Azure et analysées à l’aide des informations de sécurité et des solutions de gestion des événements telles que Splunk ou Microsoft Sentinel. SIEM aide également les organisations à conserver les données de journal pour une analyse historique.
LIRE LA SUITE: Conseils pour protéger efficacement les données et les charges de travail du cloud.
Appliquer une authentification forte pour tous les utilisateurs
L’accent initial des attaques récentes était sur l’accès initial via un code compromis dans SolarWinds Orion. Mais CISA dit avoir observé des cas où des pirates informatiques ont obtenu un accès initial à l’aide d’attaques simples basées sur des mots de passe, telles que la détermination de mots de passe et la pulvérisation de mots de passe. Il y a également eu des cas d’accès initial à l’aide d’informations d’identification d’administrateur ou de service mal sécurisées. Une fois l’accès initial obtenu, les pirates peuvent utiliser d’autres techniques pour élever les privilèges et contourner les contrôles d’identité et l’authentification multifactorielle.
Les prestataires de soins de santé doivent s’assurer que des protections sont en place pour sécuriser les comptes cloud et sur site. L’authentification multifacteur, les clés de sécurité, l’accès conditionnel Azure et la protection d’identité Azure peuvent tous être utilisés pour réduire le risque de compromission de compte. Et la gestion des appareils des utilisateurs avec des outils de gestion des appareils mobiles améliore la sécurité en réduisant la dépendance à Windows Server AD.
De nombreuses fonctionnalités avancées de sécurité et de journalisation de Microsoft 365 nécessitent une licence Azure AD Premium P1 ou P2. Les licences Microsoft 365 G3 et E3 ne fournissent que 90 jours d’audit, mais la licence d’audit avancée incluse dans les plans G5 et E5 conserve les informations dans Azure pendant un an. Les outils SIEM permettent aux organisations de stocker les données des journaux beaucoup plus longtemps.
Les droits d’administrateur global Azure sont requis pour collecter toutes les informations nécessaires pour détecter les attaques basées sur l’authentification. En raison des privilèges requis, l’accès aux outils de détection tels que Sparrow – et aux appareils sur lesquels ils s’exécutent – doit être soigneusement surveillé pour s’assurer qu’ils ne peuvent pas être utilisés pour compromettre Microsoft 365.
